Показано с 1 по 8 из 8.

Подозрение на неизвестный троян (не определяется в AVPTools) (заявка № 158857)

  1. #1
    Junior Member Репутация
    Регистрация
    12.10.2007
    Адрес
    С-Петербург
    Сообщений
    32
    Вес репутации
    38

    Подозрение на неизвестный троян (не определяется в AVPTools)

    Здравствуйте, уважаемые коллеги!
    На десктопе (лицензионный старенький моноблок СОНИ VGC-LM1) стоит антивирус AVAST, который несколько раз за последний меяц при работе в Инете выдавал сообщения о наличии троянов на просматриваемых сайтах (подорение на межсайтовый скриптинг) и якобы блокировал их.
    В с-ме имеется 2 раздела (диски С и D) на одном стоит старая лицензионная Виста (от производителя) которая не используется по причине отсутствия сети (подозревается вирус). На другом установлена также лицензионная Windows-7, в которой наблюдаются следующие эффекты:
    1) длительное завершение работы при выключении (около 100 сек.);
    2) автоматически удалены (дата не устаовлена) все точки восстановления, которые ранее были сохранены;
    3) иногда при обращении к некоторым сайтам появляется запрос на сохранение кукис для сайтов, не имеющих на первый взгляд отношения к вызываемым (Твиттер, гугли и др.); на такие запросы всегда выдаю отрицательный ответ;
    4) не запускаются макросы из приложения Word, аналогично тому, что было отмечено когда-то при наличии вируса в системе;
    5) длительная загрузка системы (60 сек. по сообщению WiseCare365; но после выдачи сообщения проходит еще некоторое время до окончания "проявления" ярлыков на раб. столе).
    6) ощущение, что скорость работы уменьшилась;
    7) при предварительном сканировании системы (согласно Правилам) средством AVPTools (дополнительно к стандартным настройкам были заданы каталоги C:\windows, d:\windows, c:\user, d:\user в режиме с максимальной самозащитой и поиском руткитов в течение 3-х часов были найдены 4 угрозы: 4 экземпляра TeamViewer в разных каталогах и больше ничего;
    8. при попытке загрузки программы HijackThis по ссылке из Правил, загрузка сайта в MSIE зависла; при загрузке AVZ по предыдущей ссылке Правил, как и при последующей загрузке game.exe==HijackThis по спец. ссылке - все грузилось быстро без проблем.

    ПРИ вызове HijackThis в п.3 "Диагностика" Правил в процессе создания лог-файла дважды появлялось сообщение "unexpected error" с рекомендацией отослать отчет на сайт. В первый раз после ответа "да" в появившемся окне с сообщением в MSIE открылся сайт разработчика, с которым не захотелось разбираться. После закрытия окна MSIE окно выдалось повторно и после ответа "нет" анализ и создание лог-файла были завершены без ошибок. (Скриншот с сообщением HijackThis приложен четвертым файлом).

    Заранее спасибо за помощь, жду ваших рекомендаций.
    С уважением,
    А. Порошин, преподаватель ИТ
    Изображения Изображения
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    343
    Уважаемый(ая) anpspb, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. Это понравилось:


  5. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,218
    Вес репутации
    849
    AVZPM в AVZ включали? Зачем?

    Удалите Free USB Guard, включите проверку съёмных носителей в avast!, с авторанами он справляется без особых проблем.

    Скачайте утилиту MiniToolBox и сохраните на рабочем столе.
    Запустите, отметьте все пункты, начинающиеся на Report и List и нажмите кнопку "Go".
    После завершения сбора информации откроется отчет Result.txt, который необходимо прикрепить к своему следующему сообщению. Если вы закрыли отчет утилиты, он будет находиться в той же папке, откуда была запущена утилита.
    WBR,
    Vadim

  6. Это понравилось:


  7. #4
    Junior Member Репутация
    Регистрация
    12.10.2007
    Адрес
    С-Петербург
    Сообщений
    32
    Вес репутации
    38
    Спасибо большое за оперативный ответ!
    1. AVZPM в AVZ специально во ВНОВЬ скачанном AVZ не включал. видимо, остался в памяти от прошлых экспериментов со старой версии AVZ
    2. USBGuard отключил и удалю
    3. Отчет утилиты в зипе прилагаю.
    SY, PAN
    Вложения Вложения

  8. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,218
    Вес репутации
    849
    Не затвикали систему с помощью WiseCare365?

    Error: (04/28/2014 02:34:29 PM) (Source: Microsoft-Windows-TaskScheduler) (User: NT AUTHORITY)
    Description: Службе планировщика заданий не удалось загрузить задания при запуске службы. Дополнительные данные: ошибка: 2147942402.

    Error: (04/28/2014 02:30:27 PM) (Source: Service Control Manager) (User: )
    Description: Служба "Браузер компьютеров" является зависимой от службы "Сервер", которую не удалось запустить из-за ошибки %%1068
    Минимум 3 системные службы не работают, отсюда, вероятно, проблемы с долгим включением и выключением.

    Некорректно настроен DNS:
    DNS-суффикс подключения . . . . . : WRT350N
    Описание. . . . . . . . . . . . . : LAN-Express AS IEEE 802.11g PCI-E Adapter
    Физический адрес. . . . . . . . . : 00-1D-D9-DD-93-67
    DHCP включен. . . . . . . . . . . : Да
    Автонастройка включена. . . . . . : Да
    Локальный IPv6-адрес канала . . . : fe80::89ce:70cb:c9cc:b717%12(Основной)
    IPv4-адрес. . . . . . . . . . . . : 192.168.0.101(Основной)
    Маска подсети . . . . . . . . . . : 255.255.255.0
    Аренда получена. . . . . . . . . . : 28 апреля 2014 г. 19:52:52
    Срок аренды истекает. . . . . . . . . . : 29 апреля 2014 г. 19:52:52
    Основной шлюз. . . . . . . . . : 192.168.0.1
    DHCP-сервер. . . . . . . . . . . : 192.168.0.1
    IAID DHCPv6 . . . . . . . . . . . : 218111449
    DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-17-75-24-A0-00-1A-80-1F-71-B7
    DNS-серверы. . . . . . . . . . . : 192.168.1.1
    8.8.8.8
    Если роутер - 192.168.0.1 - то почему в качестве первого DNS- сервера прописан 192.168.1.1? Либо автоопределение должно быть, либо, тогда уж, 192.168.0.1.

    Вирусов нет. Доводить до ума сбоящую систему человек, в подписи у которого преподаватель ИТ, должен, по моему мнению, сам. По крайней мере, эта проблема не для обсуждения в данном разделе форума.
    WBR,
    Vadim

  9. Это понравилось:


  10. #6
    Junior Member Репутация
    Регистрация
    12.10.2007
    Адрес
    С-Петербург
    Сообщений
    32
    Вес репутации
    38
    Добрый день, спасибо за диагноз, конечно буду доводить до ума сам! Главное - вирусов нет! Хотя... кто восстановление отключил? может, правда, и погиб вскоре после этого
    Твиками не баловался
    Инет получаю через телефонную сеть на ADSL-модем 192.168.1.1 от Ростелекома, а 192.168.0.1 - это старенький роутер Wrt350N, раздающий его по Wifi внутри помещения по локалке 192.168.0.*.
    Еще раз спасибо за проверку!

  11. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,218
    Вес репутации
    849
    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

    Выполните рекомендации после лечения.
    WBR,
    Vadim

  12. Это понравилось:


  13. #8
    Junior Member Репутация
    Регистрация
    12.10.2007
    Адрес
    С-Петербург
    Сообщений
    32
    Вес репутации
    38
    Здравствуйте, спасибо за скрипт!
    Найдены 2 уязвимости (flash player for MSIE & FF), установлены новые версии.
    Обновлена Java (сперва были проблемы с отсутствием старого файла и отказ в update - см. скриншот-Err, затем обновление все-таки прошло и закончилось "поздравлением". Верить ему? Скриншот-OK).
    Обновлен антивирус.
    Был рад найти неизвестные ранее разделы на сайте virusinfo.info, приступил к повышению квалификации
    Еще раз спасибо!
    Изображения Изображения

  • Уважаемый(ая) anpspb, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 0
      Последнее сообщение: 10.11.2010, 10:41
    2. Ответов: 2
      Последнее сообщение: 02.10.2010, 23:52
    3. Неизвестный троян
      От Ericc в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 30.06.2009, 22:53
    4. Ответов: 2
      Последнее сообщение: 24.02.2009, 07:37
    5. Ответов: 7
      Последнее сообщение: 22.02.2009, 08:05

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00834 seconds with 17 queries